ウイルス対策ソフトがウイルスやマルウェアなどを削除するのではなく、隔離するのはなぜですか?

anti-malware anti-virus malware virus virus-removal

ウイルス対策ソフトがウイルスやマルウェアなどを完全に駆除するのではなく、隔離するのはなぜでしょうか?完全に駆除した方が良いのではないでしょうか?なぜでしょうか?また、手動で削除するにはどうすればいいのでしょうか?

  123  Sardar_Usama  2016-07-03


ベストアンサー

ウイルスやマルウェアは実行されなければ危険ではありません。 隔離されたファイルはユーザーが実行することができず、悪意のあるコード(ウイルスやマルウェア)が行動する可能性はありません。ウイルス/マルウェアがリムーバブルであれば、すぐに削除されます。 そうでない場合は、ファイルは隔離場所に移動されます

その理由は様々です

  • 偽陽性(他の回答でも強調されています
  • 将来的にはファイルを復元できる可能性がある(ウイルスは元のファイルの中にコードを追加し、元のコードの一部をどこかに移動/暗号化/隠蔽する。現在のところ、ファイルを復元することはできませんが、近い将来、復元できるようになるかもしれません)。) 実際、ファイルがユニークで(例えば、コンピュータの所有者によって作成されたもの)、それが何らかの形で貴重なものである場合、ユーザは、そこから復元可能なすべての部分を復元する方法を見つけるかもしれません。論文の一部(または画像の一部)は、何もないよりも常に良いものです
  • ウイルス対策会社によってウイルスを研究するか、感染した他のコンピュータを個別化する可能性がある(ウイルスに攻撃されたファイルを持っていることを想像してみましょう。その署名、md5sumが変更されます。多くのコンピュータに同じファイルがあるとします。署名が同じであれば、攻撃されていると推測できます。バックアップをチェックすれば、ウイルスが最初に攻撃された時を見つけることができます)。 注: 歴史的に“quarantena”は、黒死病の拡散を防ぐために、都市に入る前に船や人々を40日間隔離し、ウイルスが発達しているかどうかを確認するための期間でした。私たちのコンピュータ上の隔離は、ウイルスの任意のアクションを観察することなく、容疑者のファイルを非アクティブに保つためにあっただけで安全な場所です。

  • 隔離でも変更された実行ファイルを終了することができます。 あなたが再コンパイルしたプログラムや、通常のWindowsの方法ではなく更新されたオープンソースのプログラムを持っていることを想像してみてください: アンチウイルスはexe-cutableファイル上の活動(書き込み)に気づくことができ、それを隔離に入れます。 さらに、アクティブな内容のファイル (例えば、Word や eXcel マクロなど) もあるので、ウイルス対策ソフトによっては、実行可能な部分の違いを見つけて、それをウイルスの作用によって生成されたものと解釈することができます

  • ウイルスから攻撃されたファイルが同じバージョンのものであれば、これらのバージョンのデータを掛け合わせて解析することで(理論的には)ファイルを復元することが可能になります

さらなる解説 隔離がなぜ存在するのか、なぜ誤検知が起こりうるのか、そしてなぜこれが日々続く戦いなのかを理解するために、ウイルスとアンチウイルスのように考えてみましょう

ウイルス(またはマルウェア)とは、プログラムされた目的のために実行されるコンパイルされたコードのことです。 コンパイルされたコードとしては、(通常は)バイナリであり、(あなたが読んでいるような)テキストではありません。それは自分自身を伝播させ、何らかの宿題(ミッション、技術的にはペイロード)を実行しなければならないが、必ずしも同時に実行する必要はない(これは検出される前に感染を広げる可能性を高める)

ウイルスはどのようにして自己増殖し、実行されるのでしょうか?

  • 単純に元のコードの一部(exe,dll,com…ファイル)を上書きして、代わりにそのコードを置くことができます

    DOS virus そのようなモードで動作する古代のDOSウイルスの例.欠点は、元のプログラムが動作を停止してしまうことと、ウイルスの検出が早くなる可能性があることです。- はい、あなたはウイルスを持っています。)

  • それは、最初の部分の代わりに自分自身を置くことができた後、最後に感染するファイルの最初の部分をコピーすることができます。そのため、プログラムを実行すると、最初にウイルスが実行され、その後にのみプログラムが実行される…ということになります。より賢い方法は、ファイルの最後に自分自身をコピーし、ファイルの先頭に最後へのジャンプを置くことです(そして、最後に先頭へのジャンプを置くことです)。欠点は、ウイルス対策ソフトがウイルスのコードを検索して(一旦判明したものを)簡単に見つけてしまうことです。これは、80〜90年代のカスケードウイルスで起こったことです…

    Cascade virus

  • それは部品でできていて、彼(それではないことに注意)は形を変えたり、プログラムの異なる部分に自分自身を隠したり、動かしたり、暗号化したり、スクランブルしたりすることができます。毎回、彼は別の方法で新しいファイルに感染する可能性があります。したがって、ウイルス対策は、指紋のまま見つけることができる – 毎日、彼は識別することが困難である

さて、ウイルスは(通常)バイナリコードであることを覚えていますか?まあ、指紋もそうです。 それらは完全なウイルスではなく、わずか数バイトなので、圧縮ファイル、データファイル、または画像の一部が、多くの既知のウイルスのフィンガープリントの1つと同じバイトを持っていることが起こるかもしれません

結論:すべてのウイルスが計画的に被害を与えていたわけではないが、ほとんどのウイルスは事実上被害を与えている。 実際に銀行口座と請求書を持っているパソコンを使っていると、上の画像のように笑えなくなってきます

136  Hastur  2016-07-04


マルウェア対策アプリケーションは、2つの理由でデフォルトでオンになっていることが多い検疫オプションを提供しています

  1. 誤検出に備えて、脅威として識別された項目のバックアップを取っておきましょう。あまり一般的ではありませんが、私は様々な合法的なアプリケーションファイルやドライバで誤検出されたケースを見てきました
  2. アイテムを隔離しておくことで、より良い調査が可能になるかもしれません。マルウェアのシグネチャと一致しているからといって、似ているだけではなく、実際には別の特徴を持っている可能性があります

89  Julie Pelletier  2016-07-03


(ほとんどの)政府が犯罪者の容疑者を逮捕するのと同じ理由で、ちょっとした挑発で路上で射殺するのではなく、犯罪者の容疑者を逮捕するのです

被疑者が実際には全く犯罪を犯していなかった場合に備えて、被疑者に自衛の機会を与えたいと思っているのではないでしょうか。そして、仮に犯罪を犯したとしても、あなたはそれについてすべてを知りたいと思うでしょう

73  Lightness Races in Orbit  2016-07-03


時々、アンチウイルスは重要なファイルを悪意のあるものとみなし、自動的に削除するのではなく、実行できない場所やファイルにアクセスできない場所を隔離し、その行動を通知します

1  user615537  2016-07-10


ウイルス(例えば)は、必ずしも「スタンドアロン」のバイナリ(.exe)ではありません。伝統的に、それらの多くは(多くの)通常の実行可能ファイルに自分自身を「添付」します。それゆえ、「感染する」という言葉が選ばれています)

したがって、マルウェアファイルの「削除」だけが唯一の選択肢ではありません。多くのAVは、感染したファイルを「クリーンアップ」するオプションを提供しています。(そうでなければ通常のプログラムファイルからウイルス部分を削除します。通常のプログラムはそのままにしておきます。)

“感染の拡大 “は “マルウェアの実行 “に基づくものではなく、”通常のプログラム” (Word, Excel) の実行に基づくものです。またはそれらで通常のドキュメントを開く)

正常だが感染している」プログラムファイルを隔離場所に移動させることは、感染拡大を食い止めるための第一歩です。そこでは、毎日の動作中に連続して実行される可能性が低くなります

隔離は、削除する前に、あなたにオプションを与えます。クリーニング」に失敗した場合どこか他の場所に “より良いツール “がある場合。または、あなたがまだそれらのすべての感染したファイルが必要な場合。分析、データ復旧のために)

1  user18099  2016-07-07


タイトルとURLをコピーしました